更新时间:2024-09-20 GMT+08:00

配置TLS安全策略实现加密通信

对于银行和金融类等需要加密传输的应用,通常会配置HTTPS加密以确保数据的安全传输。弹性负载均衡默认支持部分常用的TLS安全策略来满足您的安全加密需求。

在创建和配置HTTPS监听器时,您可以选择使用合适的默认安全策略,或者创建自定义策略,来提高您的业务安全性。

TLS安全策略包含TLS协议版本和配套的加密算法套件。

默认安全策略

TLS协议版本越高,加密通信的安全性越高,但是相较于低版本TLS协议,高版本TLS协议对浏览器的兼容性较差。

对于高安全性要求的业务,推荐采用高版本的TLS协议版本以强化安全防护;而对于安全性要求较低的业务,则可考虑使用兼容性更广的低版本TLS协议以确保业务的广泛适用。

表1 默认安全策略参数说明

名称

支持的TLS版本类型

使用的加密套件列表

TLS-1-0

TLS 1.2

TLS 1.1

TLS 1.0

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • ECDHE-ECDSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA

TLS-1-1

TLS 1.2

TLS 1.1

TLS-1-2

TLS 1.2

tls-1-0-inherit

TLS 1.2

TLS 1.1

TLS 1.0

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • DHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • ECDHE-ECDSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA
  • DHE-DSS-AES128-SHA
  • CAMELLIA128-SHA
  • EDH-RSA-DES-CBC3-SHA
  • DES-CBC3-SHA
  • ECDHE-RSA-RC4-SHA
  • RC4-SHA
  • DHE-RSA-AES256-SHA
  • DHE-DSS-AES256-SHA
  • DHE-RSA-CAMELLIA256-SHA

TLS-1-2-Strict

TLS 1.2

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384

TLS-1-0-WITH-1-3

TLS 1.3

TLS 1.2

TLS 1.1

TLS 1.0

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • ECDHE-ECDSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_AES_128_CCM_8_SHA256

TLS-1-2-FS-WITH-1-3

TLS 1.3

TLS 1.2

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • TLS_AES_128_CCM_SHA256
  • TLS_AES_128_CCM_8_SHA256

TLS-1-2-FS

TLS 1.2

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384

hybrid-policy-1-0

TLS 1.2

TLS 1.1

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • AES128-GCM-SHA256
  • AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-SHA256
  • ECDHE-RSA-AES128-SHA256
  • AES128-SHA256
  • AES256-SHA256
  • ECDHE-ECDSA-AES256-SHA384
  • ECDHE-RSA-AES256-SHA384
  • ECDHE-ECDSA-AES128-SHA
  • ECDHE-RSA-AES128-SHA
  • ECDHE-RSA-AES256-SHA
  • ECDHE-ECDSA-AES256-SHA
  • AES128-SHA
  • AES256-SHA
  • ECC-SM4-SM3
  • ECDHE-SM4-SM3

tls-1-2-strict-no-cbc

TLS 1.2

  • ECDHE-ECDSA-AES256-GCM-SHA384
  • ECDHE-ECDSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256

上述列表为ELB支持的加密套件,同时客户端也支持多个加密套件。在实际使用时,加密套件的选择范围为:ELB和客户端支持的加密套件的交集,加密套件的选择顺序为:ELB支持的加密套件顺序。

默认安全策略差异对比

下表中,“√”表示支持,“×”表示不支持。

表2 安全策略差异说明

安全策略

tls-1-0

tls-1-1

tls-1-2

tls-1-0-inherit

tls-1-2-strict

tls-1-0-with-1-3

tls-1-2-fs-with-1-3

tls-1-2-fs

hybrid-policy-1-0

tls-1-2-strict-no-cbc

TLS 协议

Protocol-TLS 1.3

×

×

×

×

×

×

×

Protocol-TLS 1.2

Protocol-TLS 1.1

×

×

×

×

×

Protocol-TLS 1.0

×

×

×

×

×

×

×

加密套件

ECDHE-RSA-AES128-GCM-SHA256

×

×

×

×

×

ECDHE-RSA-AES256-GCM-SHA384

ECDHE-RSA-AES128-SHA256

×

ECDHE-RSA-AES256-SHA384

×

AES128-GCM-SHA256

×

×

×

AES256-GCM-SHA384

×

×

×

AES128-SHA256

×

×

×

AES256-SHA256

×

×

×

ECDHE-RSA-AES128-SHA

×

×

×

×

ECDHE-RSA-AES256-SHA

×

×

×

×

AES128-SHA

×

×

×

×

AES256-SHA

×

×

×

×

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES128-SHA256

×

ECDHE-ECDSA-AES128-SHA

×

×

×

×

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-ECDSA-AES256-SHA384

×

ECDHE-ECDSA-AES256-SHA

×

×

×

×

ECDHE-RSA-AES128-GCM-SHA256

×

×

×

×

×

TLS_AES_256_GCM_SHA384

×

×

×

×

×

×

×

TLS_CHACHA20_POLY1305_SHA256

×

×

×

×

×

×

×

TLS_AES_128_GCM_SHA256

×

×

×

×

×

×

×

TLS_AES_128_CCM_8_SHA256

×

×

×

×

×

×

×

TLS_AES_128_CCM_SHA256

×

×

×

×

×

×

×

DHE-RSA-AES128-SHA

×

×

×

×

×

×

×

×

×

DHE-DSS-AES128-SHA

×

×

×

×

×

×

×

×

×

CAMELLIA128-SHA

×

×

×

×

×

×

×

×

×

EDH-RSA-DES-CBC3-SHA

×

×

×

×

×

×

×

×

×

DES-CBC3-SHA

×

×

×

×

×

×

×

×

×

ECDHE-RSA-RC4-SHA

×

×

×

×

×

×

×

×

×

RC4-SHA

×

×

×

×

×

×

×

×

×

DHE-RSA-AES256-SHA

×

×

×

×

×

×

×

×

×

DHE-DSS-AES256-SHA

×

×

×

×

×

×

×

×

×

DHE-RSA-CAMELLIA256-SHA

×

×

×

×

×

×

×

×

×

ECC-SM4-SM3

×

×

×

×

×

×

×

×

×

ECDHE-SM4-SM3

×

×

×

×

×

×

×

×

×

表3 安全策略兼容的浏览器/客户端参考说明

安全策略

tls-1-0

tls-1-1

tls-1-2

tls-1-0-inherit

tls-1-2-strict

tls-1-0-with-1-3

tls-1-2-fs-with-1-3

tls-1-2-fs

hybrid-policy-1-0

tls-1-2-strict-no-cbc

Android 8.0

Android 9.0

Chrome 70 / Win 10

Chrome 80 / Win 10

Firefox 62 / Win 7

Firefox 73 / Win 10

IE 8 / XP

×

×

×

×

×

IE 8-10 / Win 7

×

×

×

×

×

IE 11 / Win 7

IE 11 / Win 10

Edge 15 / Win 10

Edge 16 / Win 10

Edge 18 / Win 10

Java 8u161

Java 11.0.3

Java 12.0.1

OpenSSL 1.0.2s

OpenSSL 1.1.0k

OpenSSL 1.1.1c

Safari 10 / iOS 10

Safari 10 / OS X 10.12

Safari 12.1.1 / iOS 12.3.1

创建自定义策略

弹性负载均衡默认支持部分常用的TLS安全策略以满足通用需求,但当您有特定的安全需求时,例如需要仅支持特定版本的TLS协议、禁用某些加密算法套件等,您可以创建自定义TLS安全策略并配置到监听器中,从而进一步提升业务的安全性。

  1. 进入弹性负载均衡列表页面
  2. 单击页面左边的“TLS安全策略”。
  3. 在TLS安全策略页面,单击页面右上角的“创建自定义策略”。
  4. 配置自定义策略参数,参数说明参见表4
    表4 自定义策略参数说明

    参数

    说明

    名称

    自定义策略的名称。

    选择协议版本

    自定义策略支持的TLS协议版本类型。支持选择多个协议版本。

    包含:

    • TLS 1.0
    • TLS 1.1
    • TLS 1.2
    • TLS 1.3

    选择加密算法套件

    选择与协议版本配套的加密算法套件。支持选择多个加密算法套件。

    描述

    自定义策略相关信息的描述说明。

  5. 确认参数配置,单击“确定”。

管理自定义安全策略

自定义安全策略创建完成后,支持您对其进行修改和删除操作。

您可以根据使用需求对创建完成的自定义安全策略进行修改,支持修改名称、协议版本、加密算法套件和描述。

  1. 进入弹性负载均衡列表页面
  2. 单击页面左边的“TLS安全策略”。
  3. 在TLS安全策略页面,待修改的自定义安全策略所在行的操作列,单击“修改“。
  4. 在“修改自定义安全策略“弹窗,修改自定义安全策略,参数说明参见表4
  5. 确认参数配置,单击“确定”。

您可对创建完成的自定义安全策略进行删除。

如果自定义安全策略已被关联监听器使用,则无法执行删除,请先修改关联监听器的安全策略。

  1. 进入弹性负载均衡列表页面
  2. 单击左侧导航栏的“TLS安全策略”。
  3. 在TLS安全策略页面,待删除的自定义安全策略所在行的操作列,单击“删除“。
  4. 在确认删除弹窗,单击“确定“。

为HTTPS监听器添加安全策略

  1. 进入弹性负载均衡列表页面
  2. 在弹性负载均衡列表页面,单击需要创建安全策略的监听器的负载均衡器名称。
  3. 在该负载均衡界面的“监听器”区域,单击“添加监听器”。
  4. 在“添加监听器”界面,前端协议选择“HTTPS”。
  5. 在“添加监听器”界面,选择“高级配置 > 安全策略”。

    支持选择默认安全策略或自定义策略。

    如果列表中无自定义策略,您可以选择创建自定义策略

  6. 配置完成,单击“确定”。

为HTTPS监听器修改安全策略

  1. 进入弹性负载均衡列表页面
  2. 在弹性负载均衡列表页面,单击需要修改安全策略的监听器的负载均衡器名称。
  3. 切换至“监听器”页签,单击需要修改安全策略的监听器名称。
  4. 在监听器的基本信息页面,单击“编辑监听器”。
  5. 在“编辑监听器”界面,展开高级配置,选择安全策略参数。
  6. 单击“确定”。